Các nhà bảo trì Linux đề xuất nút "Killswitch" khẩn cấp sau sự hỗn loạn của CopyFail và Dirty Frag

Các nhà bảo trì nhân Linux đang cân nhắc cung cấp cho quản trị viên một "nút đỏ khẩn cấp" khổng lồ để kích hoạt lần tới khi một lỗ hổng nguy hiểm xuất hiện trước khi các bản vá sẵn sàng.

Tính năng được đề xuất có tên là "Killswitch", sẽ cho phép quản trị viên tạm thời vô hiệu hóa các chức năng cụ thể của nhân tại thời điểm chạy (runtime) thay vì ngồi chờ đợi bản sửa lỗi. Bản đề xuất này được gửi bởi Sasha Levin, đồng bảo trì nhân Linux ổn định và kỹ sư tại Nvidia, sau vài tuần đầy sóng gió đối với bảo mật Linux.

Về cơ bản, đề xuất này cung cấp cho quản trị viên cách ngắt kết nối các chức năng của nhân dễ bị tổn thương. Nếu mã khai thác bắt đầu lan truyền trước khi bản vá đến, chức năng bị nhắm mục tiêu có thể bị vô hiệu hóa để các lệnh gọi đến nó ngay lập tức thất bại thay vì tiếp cận mã bị lỗi.

Khiến hệ thống ngừng gọi hàm bị lỗi

"Khi một vấn đề (bảo mật) được công khai, các hệ thống vẫn bị lộ cho đến khi một nhân đã được vá được xây dựng, phân phối và khởi động lại," Levin viết. "Đối với nhiều vấn đề như vậy, biện pháp giảm thiểu đơn giản nhất là ngừng gọi hàm bị lỗi. Killswitch cung cấp điều đó."

Vài tuần qua không thực sự là quảng cáo tốt cho phương pháp truyền thống là "chờ bản vá". Đầu tiên chúng ta thấy sự tiết lộ về CopyFail, một lỗi leo thang đặc quyền cục bộ của Linux nhanh chóng chuyển từ việc tiết lộ sang khai thác tích cực. Vài ngày sau, Dirty Frag xuất hiện: một lỗi leo thang đặc quyền khác của Linux với mã khai thác công khai và không có bản sửa lỗi chính thức, sau khi các nỗ lực tiết lộ phối hợp sụp đổ trước khi các bản vá kịp chuẩn bị.

Như đề xuất của Levin chỉ ra, các tổ chức thường bị lộ "cho đến khi một nhân đã được vá được xây dựng, phân phối và khởi động lại". Killswitch nhằm lấp đầy khoảng trống đó.

Cách thức hoạt động và tranh luận

Killswitch sẽ hoạt động thông qua giao diện bảo mật của nhân và chủ yếu dành cho các hệ thống con mà hệ thống có thể tồn tại mà không cần nó trong một thời gian. Về mặt thực tế, lập luận của Levin là việc mất tạm thời một số chức năng mạng hoặc mã hóa vẫn tốt hơn là để mã bị lộ lộ ra trên các hệ thống sản xuất.

Tuy nhiên, tính năng này sẽ không sửa mã bị lỗi hoặc thay thế nó bằng mã an toàn. Nó chỉ đóng sầm cánh cửa lại phần nguy hiểm cho đến khi quản trị viên có thể cập nhật nhân của họ một cách chính xác.

Tất nhiên, việc trao cho sysadmin khả năng chọn lọc "bắn vào đầu" các mảnh của nhân đã gây ra tranh luận giữa các nhà phát triển về sự ổn định, tiềm năng lạm dụng, và liệu mọi người có thể tin tưởng không để vô tình cắt bỏ các chi quan trọng trong môi trường sản xuất hay không.

Dù vậy, sau CopyFail và Dirty Frag, cộng đồng nhân Linux ngày càng đi đến kết luận rằng chạy các chức năng bị lỗi có thể tốt hơn là chạy các chức năng đã bị vũ khí hóa.